Exterminer un Trojan

Mantra

Hackadémicien

Membre impliqué

Inscription: août 2011

Messages: 276
- Partager
- Tweet
#1

Exterminer un Trojan

01 novembre 2011, 11h36

Acid Shivers

Faites une recherche et effacez les fichiers: "en-cid12.exe" et "en-cid12.dat"

--------------------------------------------------------------------

Aol Trojan

Effacer le clé "dat92003" dans la base de registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Redemarrez votre ordi, ou fermez "dat92003.exe"
Effacer le fichier "dat92003.exe" dans le repertoire c:\windows

--------------------------------------------------------------------

Attack Ftp

Voici pour Infos ce que ce troyen fous comme bordel sur votre ordi :-)
- Copie Wsgt32.dl_ dans le répertoire system et renomme le fichier en DrWatsom.exe
- Copie Wsgt32.dl_ dans le répertoire windows et le renomme en Wver.dll
- Copie Install.exe dans le répertoire system et le renomme en Wscan.exe
- Ecris un clé dans Win.ini pour lancer Drwatsom.exe au prochain redémarrage
- Ecris une clé dans la base de registre pour lancer Wscan.exe au démarrage
- Crée Serv-u.ini dans le répertoire system
- scanne le disque dur pour avoir TREE.DAT (password de Cute-FTP)
- Copie les résultats dans c:\windows\Result.dll
- Lance Drwatsom.exe
- Mets un message d'erreur

* Enlever le troyen (D'après l'auteur) :

- Fermer Drwatsom (Ctrl+Alt+Suppr)
- Executer la commande : "Wscan.exe Louis_Cypher"
- Supprimer la clé:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Value wscan.exe
- Supprimer Wscan.exe de c:\windows\system

--------------------------------------------------------------------

BackAge

* Version 3.0 et 3.01 :

Dans la base de registre, effacer ces 4 clés:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Voila apres faut virer SystemKernel32 dans le registre:
HKEY_USERS\.Default\Software\Win\RUN

Ensuite, trouve le fichier "system.ini" (normalement dans c:\windows\system.ini) et effacer les lignes:
shell=Explorer.exe WinStop32.exe. under [boot]
jusqu'a
shell=explorer.exe

Ensuite trouver "win.ini" (normalement dans c:\windows\win.ini) et effacer la ligne:
run=WinStop32.exe under [Windows]

Ensuite redemarrez l'ordi ou fermez "WinStop32.exe"
Enfin, effacer "WinStop32.exe" dans le repertoire c:\windows
(..:: Page provenant du site: www.tenka.fr.st ::..)

* Version 3.1 et 3.1.1 et 3.2 SE :

Effacer la clé "Internet Explorer Plugin" dans le registre:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Effacer aussi la clé "SystemKernel32" dans le registre:
HKEY_USERS\.Default\Software\Win\RUN

Ouvrir le fichier "systeme.ini" (Normalement dans c:\windows\systeme.ini) et effacer les lignes:
shell=Explorer.exe MSkernel16.exe. under [boot]
jusqu'a
shell=explorer.exe

Ouvrir ensuite le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run=MSkernel16.exe under [Windows]

Redemarrez l'ordinateur ou fermez "MSkernel16.exe"
Enfin, effacer le fichier "MSkernel16.exe" dans le repertoire c:\windows

--------------------------------------------------------------------

BackConstruction

Copié dans:
C:\WINDOWS\Cmctl32.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Shell"="C:\\WINDOWS\\Cmctl32.exe"

--------------------------------------------------------------------

Back Door

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

--------------------------------------------------------------------

Back Orifice

La clé est en général :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => Standard Value .exe
ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => 412124.TMP Value=412124.TMP
Nombres au hasard se terminant par une extension .TMP

* Version Back Orifice 120 :

Utilisez "Bouffe Troyen"

--------------------------------------------------------------------

Bla

Copié dans:
C:\WINDOWS\$Temp\TROJAN.EXE"
c:\windows\system\Rundll.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="C:\\WINDOWS\\$TEMP\TROJAN.EXE"
"systemdoor"="c:\\windows\\system\\Rundll argp1"

--------------------------------------------------------------------

Barock

* Version 1.0 et 2.0 :

Effacer le clé "WCheckUp" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez l'ordinateur ou fermez "WCheckUp.exe"
Effacer le troyen "WCheckUp.exe" dans le repertoir System de Windows (c:\windows\system)

* Version 2.1 :

Le troyen "WinCheck.exe" doit etre fermé.
Si vous n'arrivez pas a le fermer, passer sous DOS et fermez le... (close c:\windows\system\WinCheck.exe)

Ensuite effacer la clé "WinCheck" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Puis effacer "WinCheck.exe" dans le repertoire Windows\System (c:\windows\sytem)

--------------------------------------------------------------------

Canasson

Ouvrir le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run= msie5.exe under [Windows]
(Noter qu'il y a beaucoup d'espace entre le run= et msie5.exe)

Redemarrez votre ordi ou fermez "msie5.exe"
Effacer le fichier du troyen "msie5.exe" (Normalement dans c:\)

--------------------------------------------------------------------

Deep Throat 3.1

Copié dans :
c:\windows\systray.exe

[HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Run]
"Systemtray"="c:\\windows\\systray.exe"

--------------------------------------------------------------------

Evil FTP

Dans le fichier "win.ini" effacer la clé:
run=%windows system dir%\msrun.exe under the [Windows]

Redemarrez votre ordi.
Effacer le troyen "msrun.exe" dans le repertoire System de Windows (Normalement dans c:\windows\system)

--------------------------------------------------------------------

FakeVirii

Se copie dans :
C:\WINDOWS\system\nssx.exe (36 864 Bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Kernel32.dll"="c:\\windows\\ccc.exe"

--------------------------------------------------------------------

Frenzy 1.01

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explore"="C:\\Program files\\msgsrv36.exe"

--------------------------------------------------------------------

Gate Crasher

Il s'agit d'un troyen tré specifique:
- Il a besoin de 2 fichier joints "port.dat" + un .EXE ou d'un .DOC
Il infecte une macro de WORD, celle-ci contient le texte:
"This file once opened checks to see if you have the latest
version of winsck.ocx and you have so no updates are available"

- Il n'ouvre pas le port tout de suite, il surveille si le DUN (Dial Up Network) est actif ou non...
Dès qu'il est actif, il ouvre les ports. Il est alors indétectable

la clé est :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer Value=EXPLORE.exe

La taille de fichier "explore.exe" original est exactement de 94.208 Bytes
La taille de "Port.dat" est de 94 208 Bytes
La taille de "Port.exe" est de 40 960 Bytes
La taille de "Port.doc" est de 39 424 Bytes

--------------------------------------------------------------------

GirlFriend

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run
Windll Value c:\windows\windll.exe
(Peut être renommé)

Supprimez c:\windows\windll.exe

windll.exe fait exactement 309.248 Bytes
windll.exe fait exactement 189.196 Bytes (Ils sont deux fichiers)

--------------------------------------------------------------------

Hack'a'Tack

Copié dans :
C:\windows\Expl32.exe (241 397 bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer32"="C:\\WINDOWS\\Expl32.exe"

--------------------------------------------------------------------

Icq Trojen

Se place dans le répertoire ICQ et renomme le véritable ICQ en "ICQ2.exe"

Le supprimer est très facile, il suffit de supprimer "ICQ.exe" et de renommer "ICQ2.exe" en "ICQ.exe"

Vous pouez aussi utiliser "Bouffe Troyen"

Server EXE original fait exactement 39.424 Bytes.
Server Exe modifié fait exactement 27.779 Bytes
Joint à Back Orifice, il fait 188.438 Bytes

--------------------------------------------------------------------

Indoctrination

Copié dans :
C:\windows\sysprot.exe (29184 bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Msgsrv16"="Msgsrv16"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Msgsrv16"="Msgsrv16"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16 "

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Msgsrv16"="Msgsrv16"

--------------------------------------------------------------------

Ini Killer

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Version 4:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

--------------------------------------------------------------------

Kuang

Se copie dans :
c:\windows\_webcache_.exe
C:\WINDOWS\SYSTEM\Temp$1.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WebAccelerator"="_webcache_.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Temp$1.task"="C:\\WINDOWS\\SYSTEM\\Temp$1.exe"

* Kuang 2 Full :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps_full.task"="C:\\WINDOWS\\SYSTEM\ \K2ps_full.exe"
(..:: Page provenant du site: www.tenka.fr.st ::..)

* Kuang 2 :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps"="C:\\WINDOWS\\SYSTEM\\K2psl.exe "

--------------------------------------------------------------------

Master Paradise

* Version 99 beta 9.9 :

Redemarrez votre ordi ou fermez le fichier "Angel.exe"
Puis effacer le fichier "Angel.exe"

* Version 98 beta 9.7 et beta 9.8 :

Redemarrez votre ordi ou fermez le fichier "Uagent.exe"
Puis effacer le fichier "Uagent.exe"

* Version 98 beta 2 :

Redemarrez votre ordi ou fermez le fichier "trojan.exe"
Puis effacer le fichier "trojan.exe"

--------------------------------------------------------------------

Maverick's Matrix

Copié dans:
C:\WINDOWS\Wincfg.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wincfg.exe"="C:\WINDOWS\Wincfg.exe"

--------------------------------------------------------------------

Millenium

Quand il est installé, une fenêtre de dialogue se lance disant "Le système est mis à jour"
Se copie dans:
C:\WINDOWS\SYSTEM\reg666.exe
C:\WINDOWS\SYSTEM\regersys.ocx

Les clés de la base sont :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Millenium Value=reg666.exe

Et dans win.ini : run=C:\windows\system\reg666.exe

--------------------------------------------------------------------

Netbus

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Version 2:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

--------------------------------------------------------------------

Netbus Pro 2 + Beta + Netrex

* Original NetbusPro 2 + Beta :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run
NameoftheEXE Value c:\windows\nameofthe.exe

Pour verifier que c'est surement Netbus pro qui fonctionne :
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
->Accept Value = 1*
->AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont toutes les clés standart mais elles peuvent varier

HKEY_CURRENT_USER\NetBus Server\Protection
->Password Value = A
Le password est crypté et s'il y a A, c'est qu'il n'y a pas de password !

Le serveur fait exactement 612.966 Bytes

* The Version called Netrex

Pour vérifier que c'est bien cette version qui tourne :
->HKEY_CURRENT _USER\NetRex
->HKEY_CURRENT_USER\NetRex Server\General
->Accept Value = 1*
- >AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont les clés standart mais elles peuvent varier.

->HKEY_CURRENT_USER\NetRex Server\Protection
->Password Value = A
Le pass est crypté BLA BLA BLA ...

* Version Netbus 1.5 et 1.6 et 1.7 :

Utilisez "Bouffe Troyen"

--------------------------------------------------------------------

Netsphere

Se copie dans :
C:\WINDOWS\system\nssx.exe

La clé de la base de registre est:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NSSX"="C:\\WINDOWS\\system\\nssx.exe"

* Netsphere Final :

Copié dans :
c:\windows\system\epp32.exe

Effacer cette clé dans le registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ExecPowerProfile"="C:\\WINDOWS\\system\\epp32.exe"

--------------------------------------------------------------------

Progenic Trojan Beta Series

Copié dans :
c:\windows\scandiskvr.exe

Clé du registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Scandisk"="c:\\windows\\scandiskvr.exe"

--------------------------------------------------------------------

Remote Hack

Effacer le clé "Norton Anti Virus" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "Norton.exe"
Effacer "Norton.exe" dans le repertoire Windows.

--------------------------------------------------------------------

Remote Storm

Effacer la clé "WinManager" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "DllRun.exe"
Effacer les fichiers "DllRun.exe" et "DllCount.sys" dans le repertoire c:\windows\system

--------------------------------------------------------------------

Schoolbus

Effacer la clé "Emt Indicator" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "Grcframe.exe"
Effacer le troyen "Grcframe.exe" dans le repertoire Windows System (c:\windows\system)

PS: Pour certaine version de ce troyen, il n'y a pas de clé inscrite dans le registre.

--------------------------------------------------------------------

Socket De Troie

* Version 1.0 :

Processus mémoire :
Drvctrl95

Fichier (322,560Ko) :
C:\Windows\System\DrvCtrl95.exe

Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load DrvCtrl95

2) Clé : HKEY_CLASSES_ROOT\DirectSocketsDrv\
Nom valeur : DirectSocketsCtrlDrv
(Elle empechera la version 1.0 de se réinstaller (voir patch))

Port ouvert (TCP) :
[5000]

Client possible :
TCP : pour le transfert de fichiers sur le port [5001]

* Version 1.1 :

Processus mémoire :
MSchv32

Fichier (335,872Ko) :
C:\Windows\System\MSchv32.exe

Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load MSchv32 Drv

2) Clé : HKEY_CLASSES_ROOT\DirectSockets\
Nom valeur : DirectSocketsCtrl
(Elle empechera la version 1.1 de se réinstaller (voir patch))

Port ouvert (TCP) :
[5000]

Client possible :
TCP : pour le transfert de fichiers sur le port [5001]

* Version 2.3 :

Processus mémoire (selon le fichier lancé) :
Rsrcload
OU
Csmctrl32
OU
Mgadeskdll

Fichiers (339,456Ko) :
C:\Windows\Rsrcload.exe
ET
C:\Windows\System\Csmctrl32.exe
ET
C:\Windows\System\Mgadeskdll.exe

Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Mgadeskdll

2) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Rsrcload

3) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Nom valeur : Load Csmctrl32

Ports ouverts :
TCP [30303]
ET
TCP [50505]
ET
TCP aléatoire entre [60000] et [65000]

Clients possibles :
TCP : pour le transfert de fichiers sur le port [5001]
TCP : pour la partie "Client" (spoof telnet) sur n'importe quel port

Particularité :
Tant qu'il tourne, il check et se réinstalle (fichiers + registre).
Il est donc obligatoire de fermer le prossesus d'abord pour opérer ensuite depuis windows.
Sinon, effacer tous les fichiers en DOS puis s'occuper du registre ensuite, sous windows.

FIN.
Ben voila plus jamais une infection par un trojans vous feras peur, perdre du temps et de l'argent^^)

" Une teuf sans drogue c'est comme une levrette sans fessé, c'est quand même rare. "

†|
Tags: Aucun(e)
cнєrσkєє

Hackadémicien

Membre arrivant

Inscription: septembre 2013

Messages: 6
- Partager
- Tweet
#2

23 septembre 2013, 15h51

:O Merci beaucoup !
Commentaire
lordpsy

Hackadémicien

Membre arrivant

Inscription: octobre 2013

Messages: 2
- Partager
- Tweet
#3

08 octobre 2013, 13h15

je ne voudrais pas passer pour unidiot mais comment faire pour savoir a quel style de trojan vous avez a faire!!!!j'ai un fichier que je ne peux supprimer et meme mes antivirus n'y font rien.fichier de configuration DviX LLC 2.6.1.8.mes antivirus sont norton(mode essai) et kapersky
Commentaire

Précédent template Suivante

Annonce

Exterminer un Trojan

Commentaire

Commentaire